Krisensichere digitale IT-Infrastruktur

IoT-Hype verdrängt Sicherheitsgefahren

Bodo Meseke ist Partner bei Fraud Investigation & Dispute Services (FIDS) bei EY in Frankfurt. Nach seinem Karrierestart als Kriminalbeamter im Bereich CyberCrime beim Bundeskriminalamt und verschiedenen weiteren beruflichen Stationen betreut er im Schwerpunkt Kunden aus dem Industriesegment Technology und verantwortet das Team zur IT-Forensik der FIDS.

Norbert Freitag ist Senior Manager Fraud Investigation & Dispute Services bei EY. Er ist Experte für IT-Forensik und die Bekämpfung von Internetkriminalität (Forensische Datenanalyse, E-Discovery, Cyber Investigations).
Im Rausch der Digitalisierung darf die Sicherheit nicht zu kurz kommen. Vollkommene IT-Sicherheit gibt es zwar nicht, aber Unternehmen können sich besser aufstellen.
  • Welche Sicherheitsfragen in der Praxis von CIOs gestellt werden
  • Aus Erfahrung gehen von mit heißer Nadel gestrickten IoT-Systeme besonders hohe Gefahren aus
  • Zu einer krisensicheren digitalen Infrastruktur gehören Governance sowie Sensibilisierung des Managements und Schulung der Betriebs- und Mitarbeiterkultur

Nachts um halb zwei, das Diensthandy klingelt. Am Apparat ist die IT-Abteilung: "Wir sind gehackt worden. Die Bänder stehen still, wir wissen nicht weiter." Was in der Regel folgt, sind aufreibende Wochen voll Unsicherheit und Ungewissheit. CIOs werden zunehmend mit genau diesem Szenario oder einer Variante davon konfrontiert. Das gepriesene Internet der Dinge verbindet alles mit allem. Produktionsanlagen mit Smartphones, die Fabrik mit dem Rest der Welt. Wo alles nützlicher, intelligenter und smarter wird, steigt aber auch das Risiko, von Hackern oder Datendieben angegriffen zu werden. In der Euphorie um dieIndustrie 4.0Industrie 4.0scheint der Gedanke an Sicherheit unterzugehen. Das muss sich ändern. Alles zu Industrie 4.0 auf CIO.de

Produktionsroboter, die ihr Update selbst herunterladen oder Aufzüge, die sich melden, bevor sie hängenbleiben - die neue Welt des Internet of Things (IoT) scheint die Sorgen von Unternehmern sekundenschnell zu lösen. Trotz aller Euphorie: Industrie und Mittelstand sollten sich Schwachstellen frühzeitig anschauen und diese beseitigen. IT-Sicherheit ist Chefsache, von Anfang an. Denn mit jedem vernetzten Gerät vergrößert sich zugleich die Angriffsfläche.

Ganz ehrlich: Eine stabile Firewall und die neuesten Virenscanner reichen schon lange nicht mehr aus. Wer seine Anlagen vernetzt und Prozesse digital optimiert, möchte auf der anderen Seite nicht draufzahlen, wenn es zu Datendiebstahl und Missbrauch kommt.

Fehlendes Sicherheitsbewusstsein der Sicherheitsanbieter

Die Hersteller von Soft- und Hardware bieten zwar ein reichhaltiges Set an Features an, um sich von den Wettbewerbern abzuheben. Jedoch geht es ihnen zuvorderst um Usability und Produktivität, nicht umSicherheitSicherheit und DatenschutzDatenschutz. Fehler werden erst mit Updates behoben. Warum das so ist? Die Produktlebenszyklen schrumpfen, ebenso wie die Entwicklungszeiten - immer schneller kommen die digitalen Helfer auf den Markt. Und zugleich steigt der Preisdruck. Alles zu Datenschutz auf CIO.de Alles zu Security auf CIO.de

Dieses fehlende Sicherheitsbewusstsein geben die Hersteller dann an ihre Kunden und Anwender weiter. Sie interessiert vorrangig, welche neuen Funktionalitäten ihnen nützen. Und denken dabei nicht: Was könnte mir schaden oder wie hoch ist der Preis für meine Daten? Hinterfragt wird selten, wo die Daten hingehen, wenn Hersteller und Zulieferer im Ausland sitzen - wo andere Sicherheitsregeln gelten. Eine neue Software ist schnell installiert. Und wenn dann erst einmal alles läuft, sind Sicherheitslücken zweitrangig.

Was im Hype der Digitalisierung oft vergessen wird

Die gute Nachricht: Die StrategienStrategien zum Schutz des Internet of Things werden vielfältiger, denn das Thema wird uns noch lange beschäftigen. Es ist schon lange keine Spezialdisziplin mehr, mittlerweile sind viele Cybersecurity-Lösungen auf dem Markt, die den hohen Ansprüchen der Realität tatsächlich genügen. Alles zu Strategien auf CIO.de

Wer aber vollkommene Sicherheit verspricht, der lehnt sich - mit Verlaub - etwas weit aus dem Fenster. Er vergisst vielleicht auch viel wichtigere Grundfragen: Muss wirklich alles mit allem vernetzt sein? Wo setzen wir uns unnötigen Risiken aus, dem nur ein kleiner Mehrwert gegenüber steht?

Fragen von CIOs, denen wir in der Praxis begegnen, lauten sinngemäß:

  1. Wo liegen die individuellen Schwachstellen?

  2. Deckt das bestehende Sicherheitskonzept diese bereits ab?

  3. Wo muss nachjustiert werden?

  4. Was kann investiert werden: in bessere Abwehrtechnik und Fachleute?

  5. Wie gehen Wettbewerber mit dem Risiko um?

  6. Welche Partnerschaften bieten sich an?

IT-Forensiker wie wir werden gerufen, um einen Angriff zu erkennen und zurückzuverfolgen, Lücken zu schließen und die Systemintegrität wieder herzustellen. Heute suchen wir Beweise nicht mehr nur auf typischen EDV-Systemen, sondern fragen zugleich, ob Angreifer mögliche Hintertüren in anderen vernetzten Geräten verstecken, wie dem neuen Smart-TV im Konferenzraum.

Die größten Gefahren in der Praxis

Die Praxis ist extrem vielfältig. Nahezu jedes Unternehmen hat andere Systeme in anderen Varianten - selbstredend, dass es keine One-fits-all-Lösung gibt. Aus unserer Erfahrung können wir sagen, es ist da besonders gefährlich, wo

  • neue IoT-Systeme mit der heißen Nadel gestrickt werden

  • nicht personalisierte Zugriffsrechte eingerichtet sind

  • unvollständige Sicherheitsstandards gelten, die zudem nicht für alle Bereiche des Unternehmens angewendet werden

  • qualifiziertes Personal fehlt

  • Investitionen in Sicherheit unverhältnismäßig gering sind

Nach dem Hack ist vor dem Hack

Wenn der Ernstfall eingetreten ist, kann es dauern, bis alle Systeme wieder laufen und das Unternehmen zur Normalität zurückkehrt. Auch wenn wir bei der Aufklärung von Angriffen schon sehr weit sind und Boden gut gemacht haben: Die Täter werden relativ selten gefasst. Die Angreifer sind heute extrem flexibel und international gut vernetzt. Sie arbeiten - im Gegensatz zu den meisten Ermittlungsbehörden - mit dem neuesten Stand der Technik.

Doch einige Ermittlungsbehörden und private IT-Dienstleister stocken seit Jahren ihr Personal auf und bauen länderübergreifende Expertennetzwerke. Wie dringlich und relevant das Thema ist, zeigt der Fakt, dass auch die Bundeswehr ein neues Cyber-Kommando gegründet hat.

Der Trend ist klar: Krisensicherere digitale Infrastruktur wird inmitten der vielen Potenziale, die das Internet der Dinge verspricht, mehr als "Nice-to-Have" sein - nämlich elementarer Baustein zeitgemäßer Governance, verlängert um Elemente von Sensibilisierung und Schulung in die Betriebs- und Mitarbeiterkultur hinein. Je nach Sensibilität des Managements für das Thema ist es mal leichter, mal schwerer, diesen Paradigmenwechsel zu vollziehen.

Links zum Artikel

Kommentare zum Artikel

Dietmar Baier

Grundsätzliche Zustimmung zur Kernaussage. Sicherheit ist ein Schlüsselthema für den langfristigen Erfolg von IoT. Wird gern hinten angestellt, weil nicht so "sexy" wie die Anwendungen und Dienste, mit denen der Nutzer tatsächlich in Kontakt kommt.
Ich möchte allerdings noch auf einen anderen Hype hinweisen: Der inflationäre, "gehypte" Gebrauch der Begrifflichkeit Digitalisierung in allen Medien. Das erinnert mich an die .com Blase um die Jahrhundertwende. Digitalisiert wird seit 40 Jahren. Die Digitalisierung des Telefonnetzes begann vor 40 Jahren. PCs und andere Computer beruhen schon immer auf Digitaltechnik. Fotografiert wird seit 15 Jahren ebenfalls mit Geräten, die Fotos digital erfassen und abspeichern. Und, und, und.
Das Neue ist die zunehmende Vernetzung von Allem und Allen. Selbst kleinste "Dinge" können technisch und wirtschaftlich mit einem Microcontroller und einem Anschluss an Datennetze / ans Internet ausgestattet werden. Dadurch sind die Voraussetzungen für neue, leistungsfähige Anwendungen und Dienste geschaffen, die enorme Produktivitätssteigerungen ermöglichen. Das revolutionäre ist doch die Vernetzung. Und dass die Software und damit die Funktionen und Anwendungen all dieser vernetzten Dinge im laufenden Betrieb auf den neusten Stand gebracht werden können oder erweitert werden können. Daraus ergeben sich, sozusagen als Kehrseite, die Sicherheitsrisiken. Ich plädiere dafür, die Dinge richtig zu benennen.

comments powered by Disqus
Zur Startseite